A.5.15 アクセス制御
| 項目 | 内容 |
|---|---|
| 改訂日 | 2024.04.01 |
| 適用範囲 | 全社・全従業員 |
| 管理策番号 | A.5.15 |
| 分類 | 組織的管理策 |
情報及びその他の関連資産への物理的及び論理的アクセスを制御するための規則は、業務及び情報セキュリティの要求事項に基づいて確立し、実施しなければならない。
情報及びその他の関連資産への認可されたアクセスを確保し、認可されていないアクセスを防止するため。
当社は、情報資産への不正アクセスを防止するため、業務上必要な範囲に限定したアクセス制御を実施する。アクセス権限は、最小権限の原則に基づき付与・管理する。
アクセス制御の原則
Section titled “アクセス制御の原則”情報資産へのアクセスは、原則として個人ごとに付与されたアカウントにより行う。
アクセス権限の付与・変更・削除は、業務上の必要性に基づき、承認を得たうえで実施する。
不要となったアクセス権限は、速やかに削除する。
共有アカウントの取扱い
Section titled “共有アカウントの取扱い”共有アカウントの使用は原則として禁止する。
ただし、業務上の必要性がある場合に限り、情報セキュリティ責任者の承認を得たうえで、限定的に共有アカウントの利用を認めることがある。
共有アカウントを利用する場合は、利用目的および利用可能者を明確にし、必要最小限の権限を付与する。
権限および利用状況の見直し
Section titled “権限および利用状況の見直し”アクセス権限および共有アカウントの利用状況については、イベント駆動型(入退社、業務内容変更、委託開始・終了等)で見直しを行う。
見直しの結果、不要または過剰と判断された権限は、変更または削除を行う。
認証情報の管理
Section titled “認証情報の管理”アカウントの認証情報は、適切に管理する。
共有アカウントについては、定期的にパスワードの変更を行う。
当社における実施状況
Section titled “当社における実施状況”当社では、少人数体制での運用を前提としており、形式的な定期的アクセス権レビュー(一覧点検)は実施していない。その代替として、入退社、業務内容変更、委託開始・終了時にアクセス権を即時見直す運用を行っている。
Microsoft Entra IDを中心としたID管理により、変更履歴を記録・追跡可能としており、不要または過剰なアクセス権が残存しない運用を行っている。
原則として、各従業員に一意のアカウントを付与し、共有アカウントの使用は原則禁止としている。ただし、業務上の必要性がある場合に限り、情報セキュリティ責任者の承認を得たうえで、限定的に共有アカウントの利用を認めている。
アカウントの作成・変更・削除は、情報セキュリティ責任者の承認を得て実施している。
共有アカウントについては、利用状況の見直しを行い、パスワードの変更および利用可能者を必要最小限の範囲に制限するなど、適切な管理を行っている。